Operations Master Roles (Flexibilní Single Master Operations-FSMO)
hlavní role operací (také známé jako flexibilní jednotlivé hlavní operace nebo FSMO) jsou speciální role přiřazené jednomu nebo více řadičům domény v doméně služby Active Directory.
Active Directory podporuje multi-master replikaci úložiště adresářových dat mezi všemi řadiči domény v doméně. Proto jsou všechny řadiče domény v doméně považovány za v podstatě vrstevníky. Během replikace služby Active Directory však dochází ke konfliktům replikace. Některé operace, ke kterým dochází v systému Windows Server 2003 Active Directory, by mohly být škodlivé, pokud by došlo ke konfliktům. V případě těchto operací se systém Windows 2003 vrátí k použití modelu s jedním master. To znamená, že jeden řadič domény v síti přebírá odpovědnost za provedení konkrétního úkolu a tyto řadiče domény se nazývají jako Operations Master.
existuje pět hlavních rolí operací a dvě z nich jsou role na úrovni lesa a tři z nich jsou role na úrovni domény. Následující tabulka uvádí hlavní role operace a jejich rozsah.
Operations Master |
oblast působnosti |
schéma Master |
Les široký |
Domain Naming Master |
Les široký |
emulátor primárního řadiče domény (PDC) |
doména široká |
relativní identifikátor (rid) Master |
doména široká |
Master infrastruktury |
široká doména |
Schema Master
Active Directory schema definuje, co může v adresáři existovat. Řízení procesu aktualizace pomocí nových objektů a atributů by mělo být pečlivě sledovaným procesem. V síti Windows Server 2003 je uložena pouze jedna kopie schématu pro čtení/zápis.
řadič domény přiřazený hlavní roli schématu řídí všechny aktualizace a úpravy schématu. Chcete-li aktualizovat schéma lesa, musíte mít přístup k master schématu.
v celém lese je vždy pouze jeden Master schématu.
Domain Naming Master
všechny objekty v rámci AD musí být jedinečné. Nemůžeme vytvořit dva objekty v kontejneru se stejným názvem, a rozlišující názvy všechny objekty musí být jedinečné. Domain Naming Master zajišťuje, že nové domény přidané do lesa Windows Server 2003 mají jedinečné názvy.
v celém lese je vždy pouze jeden doménový pojmenování Master.
PDC (primární Domain Controller) emulátor
PDC emulator services Network clients, které nemají nainstalován klientský software služby Active Directory, a to replikuje změny adresáře na všechny Microsoft Windows NT backup domain controllers (BDCs) v doméně.
dokonce i doména pracuje na funkční úrovni systému Windows 2003, emulátor PDC je nutný k provádění určitých úkolů.
emulátor PDC přijímá preferenční replikaci změn hesla prováděných jinými řadiči domény v doméně.
pokud bylo heslo nedávno změněno, tato změna vyžaduje čas, aby se replikovala na každý řadič domény v doméně. Pokud ověření přihlášení selže v jiném řadiči domény kvůli špatnému heslu, tento řadič domény předá požadavek na ověření emulátoru PDC před odmítnutím pokusu o přihlášení.
existuje pouze jeden emulátor PDC na doménu.
relativní ID (RID) Master
jistina zabezpečení je objekt služby Active Directory, kterému lze přiřadit oprávnění v síti Windows Server 2003. Příklady hlavních objektů zabezpečení jsou uživatelé, skupiny a počítače. Každému jistinu zabezpečení je přiřazen identifikátor zabezpečení (Sid), aby mohl být identifikován.
bezpečnostní identifikátor (Sid) se skládá ze dvou složek. První komponenta, doména Sid, je společná pro všechny principy zabezpečení v doméně. Jedinečnost v SID pochází z přidání druhého čísla, relativního identifikátoru (RID). Rid je přiřazen ze skupiny rid uložených v každém řadiči domény. RIDs v tomto fondu jsou přiřazeny ke každému řadiči domény pomocí rid Master.
formát SID se řídí tímto vzorem: S-R-IA-SA-SA-RID.
* s představuje identifikátor SID.
* R představuje revizi. Všechny Sid generované systémem Windows používají úroveň revize 1.
* IA představuje vydávající orgán.
* SA představuje sub-autoritu a
* RID je relativní ID
typický uživatel SID vypadá takto: S-1-5-21-1683771067-1221355100-624655392-1001.
RIDs jsou přiřazeny každému DC v blocích 500 RIDs. Když je blok RIDs vyčerpán, DC požaduje další blok od rid Master. Aby byla zajištěna jedinečnost, rid Master sleduje, které bloky RID byly přiřazeny.
pokud je rid pool na DC vyčerpán a rid Master není k dispozici, nebudete moci na tomto serveru vytvářet principy zabezpečení (příklad: uživatel).
existuje pouze jeden RID Master na doménu.
Leave a Reply